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Kleine Anfrage 

der Abgeordneten Joana Cotar, Uwe Schulz, Dr. Michael Espendiller, 
Marcus Bühl, Jörn König, Wolfgang Wiehle und der Fraktion der AfD 


Starke Ende-zu-Ende-Verschlüsselung - ohne Nachschlüssel 


Verschlüsselungstechnologien leisten nach Ansicht der Fragesteller einen grund¬ 
legenden Beitrag zur IT-Sicherheit. Während die Digitalisierung immer tieferund 
breiter in persönliche sowie gesellschaftliche Bereiche Einzug hält, wird immer 
deutlicher, dass IT-Sicherheit oberste Priorität haben muss, sowohl bei den 
Markttteilnehmern als auch für die Legislative. Neben Webdiensten und E-Mail- 
Kommunikation ist davon auszugehen, dass die weltweite Anzahl von Intemet- 
of-Things-Geräten (IoT) von schätzungsweise 21 Milliarden im Jahre 2018 auf 
über 50 Milliarden Geräte im Jahre 2022 ansteigen wird (www.juniperrese- 
arch.com/press/press-releases/iot-connections-to-grow- 140-to-hit-50-billion). 
Alleine Siemens beschäftigt 1 275 Mitarbeiter im Bereich der IT-Sicherheit und 
ist zirka 1 000 Angriffen pro Tag ausgesetzt. Bitkom e. V. sieht Deutschland auf¬ 
grund seiner weltmarkführenden Industrie im besonderen Fokus krimineller Ak¬ 
teure (www.faz.net/aktuell/wirtschaft/diginomics/43-milliarden-euro-schaden- 
durch-hackerangriffe-15786660.html). Darüber hinaus ist die deutsche Wirt¬ 
schaft durch das Ausspionieren ausländischer Geheimdienste gefährdet (www. 
welt.de/wirtschaft/articlel62217929/So-spionieren-Geheimdienste-deutsche- 
Finnen-aus.html). Die Bedeutung guter Verschlüsselungsstandards ist für 
Deutschland besonders relevant, da sich der weltweit größte Internet-Knoten¬ 
punkt, DeCiX, in Frankfurt am Main befindet. Daher hat der britische Geheim¬ 
dienst General Communications Headquarters (GCHQ) kürzlich über seinen Aus¬ 
leger National Cyber Security Center (NC SC) seinen Einfluss auf das Europä¬ 
ische Institut für Telekommunikationsnonnen (ETSI) wahrgenommen und ver¬ 
sucht (www.sueddeutsche.de/digital/tls-verschluesselung-l.4317326), statt des 
abhörsicheren Verschlüsselungsstandards TLS 1.3 das mit Nachschlüssel verse¬ 
hene Protokoll „Enterprise Transport Security“ (ETS, vormals eTLS „Enterprise 
TLS“) zumindest für interne Netzwerkkommunikation zu etablieren. Daten¬ 
schutzexperten warnen strengstens davor, eine Verschlüsselungstechnologie ein¬ 
zusetzen, welche Nachschlüssel oder ähnliche Abhörmaßnahmen ermöglicht, un¬ 
abhängig davon, ob Kommunikationsdaten über das Internet oder interne Netz¬ 
werke transportiert werden sollen (www.security-insider.de/etls-hebelt-forward- 
secrecy-von-tls-13-wieder-aus-a-782663/). Ein wichtiger Schritt zu mehr IT-Si¬ 
cherheit ist die Überarbeitung des Produktsicherheitsrechts (https://beck-on- 
line.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fnjw%2F2019%2Fcont%2F 
njw.2019.625.l.htm&pos=5). Dies hat die Bundesregierung richtiger Weise er¬ 
kannt und auch im Koalitionsvertrag zwischen CDU, CSU und SPD festgeschrie¬ 
ben (Zeilen 6371 — 4375: „Wir werden das Produktsicherheitsrecht novellieren, 
um die IT-Sicherheit in verbrauchemahen Produkten zu erhöhen. Dazu werden 
wir u. a. das Produkthaftungsrecht anpassen, Mindeststandards vorschreiben und 
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die Einführung einer gewährleistungsähnlichen Herstellerhaftung prüfen. Dar¬ 
über hinaus werden wir ein europaweit gültiges IT-Sicherheits-Gütesiegel etab¬ 
lieren.“), allerdings wurde von dem Vorhaben noch nichts umgesetzt. Auch die 
Verbraucherschutzzentralen äußern Unzufriedenheit bezüglich der bisher nicht 
erfolgten Einführung einer gewährleistungsähnlichen Herstellerhaftung sowie 
der Überarbeitung der europäischen Produkthaftungsrichtlinie (www.vzbv.de/ 
content-wrapper/produkthaftung-der-digitalen-welt-staerken). Erste Erfahrungs¬ 
werte hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch 
die Migration von TLS 1.0 auf TLS 1.2 in den Bundesbehörden sammeln können 
(www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/BSI_veroeffentlicht_ 
Mindeststandard_ftier_verschluesselte_Internetverbindungen_08102013 .html), 
die bei der Migration auf den nächsten Standard dienlich sein sollten. Ob Nach¬ 
schlüssel bzw. Hintertüren in internen Netzwerken als sinnvoll erachtet werden, 
scheint innerhalb des BSI noch strittig zu sein (www.sueddeutsche.de/digital/tls- 
verschluesselung-1.4317326). Die Landesbeauftragte für Datenschutz in Schles¬ 
wig-Holstein, Marit Hansen, warnt: „Jeder, der versucht, da [gemeint ist der TLS- 
1.3-PFS-Standard] nun wieder Hintertüren einzubauen oder Schwächen für diese 
Sicherheit, der hat gerade nicht verstanden, dass es uns um eine starke Absiche¬ 
rung geht, der sabotiert die Infrastruktur, auf die wir unsere Informationsgesell¬ 
schaft aufgebaut haben und ich halte diejenigen auch für Hasardeure“ (www. 
sueddeutsche.de/digital/tls-verschluesselung- 1.^4317326). Auch Mark Zucker¬ 
berg hat die Relevanz von durchgehender Kommunikationssicherheit erkannt und 
wird bei Facebook Ende-zu-Ende-Verschlüsselung vorantreiben (www.facebook. 
com/notes/mark-zuckerberg/a-privacy-focused-vision-for-social-networking/ 
10156700570096634/). In Deutschland ist die IT-Sicherheit mit 9 Prozent Wachs¬ 
tum ein wesentlicher Treiber der IT-Branche (www.bitkom.org/Presse/ 
Presseinformation/Markt-fuer-IT-Sicherheit-erstmals-ueber-4-Milliarden- 
Euro.html). Höchste Datensicherheit, vor allem bei der Intemetkommunikation, 
steht also nicht im Widerspruch zu Innovationsfähigkeit und Wirtschaftswachs¬ 
tum. 

Wir fragen die Bundesregierung: 

1. Teilt die Bundesregierung die Einschätzung der europäischen ETSI, dass 
durch die geplante Migration zur Transportverschlüsselung gemäß TLS 1.3 
„Chaos“ und „enormer Schaden“ entstehen kann (www.heise.de/newsticker/ 
meldung/Europaeische-Standards-Organisation-wamt-USA-vor-TLS-1-3-4 
324155.html)? 

2. Teilt die Bundesregierung die Ansicht der Fragesteller, dass Nachschlüssel 
jeglicher Art ein Sicherheitsrisiko, sowohl für Endanwender als auch IT-Be- 
treiber, darstellen? 

3. Welche Empfehlungen hat die Bundesregierung gegenüber ETSI hinsicht¬ 
lich der Entwicklung des eTLS ausgesprochen, sei es direkt oder durch be¬ 
auftragte Experten (www.heise.de/newsticker/meldung/Europaeische-Standards- 
Organisation-warnt-USA-vor-TLS-1 -3-43241 55.html)? 

4. Hat die Bundesregierung Kenntnisse über die Empfehlungen von weiteren 
EU-Mitgliedstaaten an die europäische ETSI bezüglich Nachschlüssel? 

a) Wenn ja, welche? 

b) Wenn nein, warum nicht? 

5. Wäre für die Bundesregierung eine Verschlüsselungstechnologie mit einge¬ 
bauter Nachschlüssel- bzw. Abhörtechnologie vor dem Hintergrund, dass die 
Regierungsparteien im Koalitionsvertrag zwischen CDU, CSU und SPD 
festgelegt haben, dass sie „die Verbreitung sicherer Produkte und das Ent¬ 
wicklungsprinzip „Security by Design“ fördern“ (Zeilen: 1986 - 1987) wol¬ 
len, mit einem solchen „Security by Design“-Prinzip vereinbar? 
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6. Wird das Gütesiegel für IT-Sicherheit, wie im Koalitionsvertrag zwischen 
CDU, CSU und SPD vereinbart (Zeilen 1988 - 1990: „Die Einhaltung dieser 
über die gesetzlichen Mindeststandards hinausgehenden IT-Sicherheitsstan- 
dards werden wir Verbraucherinnen und Verbrauchern mit einem Gütesiegel 
für IT-Sicherheit transparent machen“), die Verschlüsselung mit Nach¬ 
schlüsseln oder ähnliche Abhörmechanismen akzeptieren? 

7. Welche Vor- und welche Nachteile sieht die Bundesregierung in Verschlüs¬ 
selungstechnologien, bei denen Nachschlüssel oder ähnliche Entschlüs- 
selungs bzw. Eingriffstechnologien möglich sind (bitte die Vor- und Nach¬ 
teile gegenüberstellen), und überwiegen für die Bundesregierung die Vor¬ 
oder die Nachteile? 

8. Wird sich die Bundesregierung über den IT-Planungsrat und das Bundesmi¬ 
nisterium des Innern, für Bau und Eieimat für den Einsatz von TLS 1.3 mit 
Perfect Forwarding Secrecy (PFS) in Bundesbehörden einsetzen, und wel¬ 
cher Zeitrahmen ist gegebenenfalls für die Implementierung angedacht? 

9. Auf welche Erkenntnisse kann die Bundesregierung in Bezug auf die Migra¬ 
tion von TLS 1.0 zu TLS 1.2 hinsichtlich 

a) der finanziellen Migrationskosten (bitte nach Bundesministerien und 
Kostenkategorie aufschlüsseln) und 

b) den zeitlichen und organisatorischen Migrationsablauf zurückgreifen 
(www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/BSI_ 
veroeffentlicht_Mindeststandard_fuer_verschluesselte_Internet 
Verbindungen 08102013.html)? 

10. Sieht die Bundesregierung die im Koalitionsvertrag zwischen CDU, CSU 
und SPD vereinbarte Novellierung des Produktsicherheitsrechts (Zeilen 
6371 - 6375: „Wir werden das Produktsicherheitsrecht novellieren, um die 
IT-Sicherheit in verbrauchernahen Produkten zu erhöhen. Dazu werden wir 
u. a. das Produkthaftungsrecht anpassen, Mindeststandards vorschreiben und 
die Einführung einer gewährleistungsähnlichen Herstellerhaftung prüfen.“) 
auch im Falle unzureichender Verschlüsselungsstandards bzw. Nachschlüs¬ 
sel beim Produkthersteller als ausreichend an, und wenn ja, aus welchen 
Gründen? 

11. Bis wann beabsichtigt die Bundesregierung die im Koalitionsvertrag zwi¬ 
schen CDU, CSU und SPD vereinbarte Novellierung des Produktsicherheits¬ 
rechts umzusetzen? 

12. In welchem Umfang wird die Bundesregierung bei Schäden oder Datenleaks, 
welche auf unzureichende Verschlüsselungstechnologien oder den Miss¬ 
brauch von Nachschlüsseln zurückzuführen sind, die Herstellerhaftung ver¬ 
schärfen? 

13. Welche konkreten Projekte unterstützt die Bundesregierung innerhalb der 
neugegründeten Agentur für Cybersicherheit (ausgestattet mit einem (For- 
schungs-)Budget von 200 Mio. Euro; www.heuking.de/de/news-events/ 
fachbeitraege/der-cybersecurity-act-wohin-steuert-europa-in-fragen-der- 
cybersicherheit.html) hinsichtlich Verschlüsselungstechnologien, und wel¬ 
che finanziellen und personellen Ressourcen werden dem Thema Ende-zu- 
Ende-Verschlüsselungstechnologien zugewiesen? 

Berlin, den 22. März 2019 


Dr. Alice Weidel, Dr. Alexander Gauland und Fraktion 



Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com 
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de 
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de 

ISSN 0722-8333 



